Vazamento de Dados da DeepSeek: Empresa de Cibersegurança Relata Dados Expostos na Web

Em uma recente revelação de cibersegurança, a empresa de cibersegurança baseada em Nova York, Wiz, disse que recentemente descobriu um banco de dados inadvertidamente exposto da DeepSeek, uma proeminente empresa chinesa de inteligência artificial (IA), vazando dados sensíveis, incluindo mensagens de chat e informações pessoais dos usuários, para a internet aberta.

A DeepSeek, fundada em Hangzhou em 2023, ascendeu rapidamente na indústria de IA devido aos seus modelos inovadores de chatbot, particularmente o modelo de raciocínio DeepSeek-R1.

Este modelo de IA foi elogiado por seu desempenho, rivalizando com contrapartes dos EUA, como o o1 da OpenAI, enquanto utiliza menos recursos.

Em um post no blog publicado na quarta-feira, a Wiz disse que identificou um banco de dados ClickHouse acessível publicamente relacionado à DeepSeek.

O banco de dados exposto permitiu controle total sobre as operações do banco de dados, incluindo a capacidade de acessar dados internos. Ele incluía mais de um milhão de linhas de fluxos de log contendo histórico de chat, chaves secretas, detalhes de backend e outras informações altamente sensíveis.

“Em minutos, encontramos um banco de dados ClickHouse acessível publicamente vinculado à DeepSeek, completamente aberto e não autenticado, expondo dados sensíveis. Ele estava hospedado em oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000,” escreveu a empresa de cibersegurança em seu post no blog.

“Este banco de dados continha um volume significativo de histórico de chat, dados de backend e informações sensíveis, incluindo fluxos de log, Segredos da API e detalhes operacionais.

“Mais criticamente, a exposição permitiu controle total do banco de dados e potencial escalonamento de privilégios dentro do ambiente da DeepSeek, sem qualquer autenticação ou mecanismo de defesa para o mundo exterior.”

Ao descobrir o banco de dados exposto, o cofundador da Wiz, Ami Luttwak, disse que sua equipe de pesquisa imediatamente e de forma responsável divulgou o problema à DeepSeek, que então rapidamente garantiu o banco de dados.

“Eles o retiraram em menos de uma hora,” disse Luttwak. “Mas isso foi tão simples de encontrar que acreditamos que não somos os únicos que o encontraram.”

Embora a DeepSeek tenha agido rapidamente para corrigir o problema, essa descoberta levantou preocupações significativas em relação à privacidade dos dados e ao potencial de uso indevido por entidades governamentais.

Atualmente, a DeepSeek limitou os registros de usuários devido a um ataque cibernético em andamento. Apenas 2 dias atrás, outra empresa de cibersegurança conseguiu fazer jailbreak na Deepseek.

Esses incidentes ressaltam os crescentes desafios em garantir a segurança e a privacidade dos dados, particularmente com o rápido avanço das tecnologias de IA.

A DeepSeek ainda não comentou sobre o problema.